I criminali informatici non aspettano che le aziende risolvano una vulnerabilità. L'attacco di solito ha successo rapidamente ed è quindi previsto. Si raccomanda una gestione delle patch basata sul rischio in modo che il fattore tempo perda parte del suo peso.
Dal momento in cui viene pubblicata una vulnerabilità, occorrono in media solo 22 giorni per sviluppare un exploit funzionante. Da parte dell'azienda, tuttavia, occorrono in media tra 100 e 120 giorni prima che venga implementata una patch disponibile. Uno dei motivi di questa discrepanza è sicuramente che le aziende sono state a lungo impotenti di fronte al gran numero di nuove vulnerabilità.
Vulnerabilità: un exploit sarà disponibile in 22 giorni
Il NVD (National Vulnerability Database) ha contato quasi 22.000 nuove vulnerabilità nel 2021, il 10% in più rispetto all'anno precedente e probabilmente il 20% in meno rispetto al 2022. La gestione delle patch orientata alla conformità non è più in grado di tenere il passo con questo ritmo. Tuttavia, la gestione delle patch basata sul rischio offre un approccio fondamentalmente diverso. L'idea di base: invece di tentare (invano) di colmare tutti i punti deboli, si considerano innanzitutto le lacune di sicurezza che rappresentano anche un rischio effettivo per la singola azienda.
Ciò che suona come una verità ovvia pone sfide molto speciali per le organizzazioni IT quando si tratta di implementazione. Utilizzando 5 best practice, il fornitore di sicurezza Ivanti mostra come possono essere risolte e tradotte in una maggiore sicurezza:
1: Visualizza la situazione
Non puoi proteggere ciò che non conosci. Pertanto, la gestione delle patch basata sul rischio inizia sempre con un inventario. Quali risorse ci sono nella rete aziendale? Quali profili di utenti finali utilizzano queste risorse? Prima della pandemia della corona, la gestione patrimoniale era molto meno complicata, bastava uno sguardo approfondito in ufficio: all'"Everywhere Workplace" è quasi impossibile. La gestione delle patch basata sul rischio funziona in questa nuova situazione solo se tutte le risorse possono essere rilevate, assegnate, protette e mantenute in qualsiasi luogo, anche quando sono offline.
2: Coinvolgi tutti da una parte
In molte organizzazioni odierne, un team è responsabile della scansione delle vulnerabilità e dei test delle penne, il team della sicurezza è responsabile della definizione delle priorità e il team IT è responsabile dell'esecuzione delle azioni correttive. Di conseguenza, a volte esistono gravi lacune tra le conoscenze acquisite dalla sicurezza e le misure correttive adottate dall'IT.
La gestione delle patch basata sul rischio crea una connessione tra i reparti. Presuppone che le minacce esterne e gli ambienti di sicurezza interna siano considerati insieme. La base è un'analisi dei rischi che entrambi i dipartimenti possono accettare. Ciò consente al team di sicurezza di dare la priorità solo alle vulnerabilità più critiche. I colleghi delle operazioni IT, a loro volta, possono concentrarsi sulle patch importanti al momento giusto. In questo modo, la gestione delle patch basata sul rischio offre a tutti più respiro.
3: Sostenere la gestione delle patch con SLA
Una cosa è che i team delle operazioni IT e della sicurezza devono lavorare insieme per sviluppare una soluzione di gestione delle patch basata sul rischio. L'altra cosa è responsabilizzarli e motivarli. Un accordo sul livello di servizio (SLA) per la gestione delle patch tra le operazioni IT e la sicurezza IT pone fine al tira e molla standardizzando i processi per la gestione delle patch. Stabilisce obiettivi dipartimentali e aziendali per la gestione delle patch, stabilisce best practice e processi e stabilisce date di manutenzione che tutte le parti interessate possono accettare.
4: organizzare la gestione delle patch con i gruppi pilota
Se eseguita correttamente, una strategia di gestione delle patch basata sul rischio consente alle operazioni IT e ai team di sicurezza di lavorare rapidamente, identificare le vulnerabilità critiche in tempo reale e correggerle il più rapidamente possibile. Nonostante tutto l'amore per la velocità, vale ancora quanto segue: una patch frettolosa comporta il rischio di crash del software business-critical o che si verificano altri problemi.
I gruppi pilota provenienti da una sezione trasversale di aziende il più diversificata possibile dovrebbero quindi testare le patch di vulnerabilità in un ambiente reale prima che vengano implementate completamente. Se il gruppo pilota scopre un bug, può essere risolto con un impatto minimo sull'azienda. I gruppi pilota dovrebbero essere stabiliti e addestrati in anticipo in modo che questo processo non ostacoli il progresso delle patch.
5: Usa l'automazione
Lo scopo della gestione delle patch basata sul rischio è correggere in modo efficiente ed efficace le vulnerabilità riducendo al contempo il carico sul personale. Ciò è particolarmente vero dato lo scarso livello di personale IT in molte aziende. L'automazione accelera notevolmente la gestione delle patch basata sul rischio analizzando, contestualizzando e dando priorità alle vulnerabilità XNUMX ore su XNUMX, XNUMX giorni su XNUMX, alla velocità necessaria. Allo stesso modo, la gestione automatizzata delle patch può anche segmentare l'implementazione di una patch per testare l'efficacia e l'impatto a valle e per integrare il lavoro dei gruppi pilota.
Destinazione errata: numero di patch installate
Mentre la gestione dei rischi informatici riguardava principalmente il numero di patch installate, ora questo approccio è diventato obsoleto. La capacità di identificare automaticamente, stabilire le priorità e persino correggere le vulnerabilità senza richiedere un intervento manuale eccessivo è un vantaggio chiave nel panorama odierno della sicurezza informatica.
Una soluzione di gestione intelligente delle minacce e delle vulnerabilità (TVM) deve inoltre fornire la possibilità di visualizzare risultati comprensibili per i team IT e di sicurezza fino al consiglio di amministrazione aziendale. Un punteggio di sicurezza informatica, a sua volta, consente di misurare l'efficacia dell'approccio basato sul rischio di un'organizzazione. Semplifica la pianificazione ed elimina la necessità di metriche puramente basate sull'attività per correggere le vulnerabilità.
Maggiori informazioni su Sophos.com